Données personnelles, cybersécurité et Coronavirus
Publicado el :
01/04/2020
01
abril
abr
04
2020
Suite à l’émergence de l’épidémie de Covid-19, au développement massif du télétravail et la volonté des entreprises de protéger leur personnel, les questions liées à la cybersécurité et aux données personnelles doivent rester une préoccupation majeure des entreprises. Ces préoccupations sont soumises à la vigilance de la Commission Nationale Informatique et Libertés (CNIL), du règlement général sur la protection des données personnelles (RGPD) et de l’Agence Nationale pour la Sécurité des Systèmes d’information (ANSSI).
Sur la collecte des données personnelles
Contrairement à la Corée du Nord qui exploite publiquement l’intégralité des données de santé et de géolocalisation des personnes infectées, la CNIL, autorité française de régulation de l’utilisation des données personnelles, est venue préciser les traitements autorisés et ceux interdits (pour l’instant).Ainsi, l’entreprise peut :
- Légitimement informer et sensibiliser son personnel pour qu’il lui transmette une éventuelle exposition au Covid-19 ou directement auprès des autorités sanitaires compétentes ;
- Favoriser les modes de travail à distance et encourager le recours à la médecine du travail.
- En cas de signalement, l’entreprise pourra consigner la date et l’identité de la personne suspectée d’avoir été exposée et les mesures organisationnelles prises (confinement, télétravail, contact avec le médecin du travail, etc.).
Par conséquent, les entreprises doivent s’abstenir de procéder à des traitements systématiques et généralisés portant notamment sur des données de santé ou relevant de la sphère privée, telles que des enquêtes et demandes individuelles relatives à la recherche d'éventuels symptômes présentés par un employé/agent et ses proches.
La CNIL interdit formellement, et conformément au RGPD, par exemple la mise en place de relevés obligatoires des températures corporelles de chaque salarié ou la collecte de questionnaires médicaux auprès de l’ensemble du personnel.
Seules les autorités sanitaires sont habilitées à collecter de telles données. Ces autorités sont toutefois, en qualité de personnes publiques, soumises également au RGPD. C’est pourquoi, pour permettre une information transparente, Santé Publique France a, par exemple, communiqué sur les traitements de données à caractère personnel ayant pour finalité le suivi des cas possibles et confirmés d’infection par le virus et le suivi des personnes dites contact d’un cas confirmé. Bien entendu, l’ensemble des droits des personnes concernées, à savoir le droit d’opposition, le droit d’accès, de rectification, d’effacement de leurs données et de limitation du traitement de leurs données, est maintenu et celles-ci peuvent contacter directement les autorités compétentes pour les exercer.
Toutefois, dans le cadre de l’état d’urgence sanitaire déclaré par la LOI n° 2020-290 du 23 mars 2020, les choses peuvent évoluer vite. En effet, le gouvernement a évoqué étudier de prêt les mesures de collecte massive de données personnelles, voire celle de santé, permettant de lutter contre l’épidémie. L’article 9 du RGPD permet le traitement de ces données lorsque celui-ci est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé.
Enfin, même le Comité européen de la protection des données (CEPD) a accepté un traçage des données de géolocalisation des européens en faisant appel aux opérateurs de télécommunication, ceux qu’Orange a officiellement accepté en France. Il reste toutefois que ce traçage est pour l’instant limité à des données anonymisées. A suivre donc !
Le respect de la protection des données personnelles reste donc une priorité absolue française dans un contexte épidémique, dont les modalités organisationnelles et juridiques doivent être appréhendées par les entreprises.
Sur la cybersécurité
Depuis l’avènement du confinement lié au COVID19, des cyberattaques massives ont eu lieu touchant tous secteurs d’activité, et même les hôpitaux. Ainsi le 22 mars 2020, une partie des serveurs de l'Assistance publique-Hôpitaux de Paris (AP-HP) ont été bloqués suite à une attaque par déni de services qui consiste à adresser des requêtes inutiles rendant inaccessibles les serveurs.Pour contrer ces attaques, plusieurs initiatives ont été mises en place, dont la création d’un groupe de 360 experts mondiaux (40 pays) en cybersécurité sous le nom de Cyber Threat Intelligence (CTI Covid-19) visant à supporter le secteur médical pendant la pandémie de Coronavirus.
En parallèle, l’ANSSI et le site internet https://www.cybermalveillance.gouv.fr/ recensent les bonnes pratiques à adopter pour limiter la propagation de ces cyber-attaques, et incite chacun des individus à veiller à sa propre cybersécurité par :
- Une identification de la session informatique par identifiant et mots de passe robustes ;
- La vérification de l’origine des messages (mail, SMS, chat…) reçus pour lutter contre l’hameçonnage (ou phishing) qui visant à subtilise des données personnelles, professionnelles ou bancaires sur un prétendu site officiel ;
- L’absence de téléchargements des applications hors de sites officiels ou des pièces jointes douteuses, pour endiguer les risques liés aux ransomwares, logiciel visant à bloquer l’accès à l’ensemble de vos données contre la remise d’une rançon la plupart du temps financière ;
- La vigilance concernant les sites de ventes de masques, de gel hydroalcoolique, de téléconsultation médiale, qui sont le plus souvent créés uniquement pour soutirer des données personnelles ou réclamer un paiement pour un produit inexistant ou non conforme aux réglementations en vigueur ;
- L’utilisation du seul site du ministère de l’intérieur (https://www.interieur.gouv.fr/Actualites/L-actu-du-Ministere/Attestation-de-deplacement-derogatoire-et-justificatif-de-deplacement-professionnel) pour télécharger gratuitement les attestations obligatoires de déplacement, contrairement aux sites internet frauduleux permettant la captation non autorisée ou payante de données personnelles.
Concernant spécifiquement le télétravail, il convient d’être vigilant sur les mesures liées à la sécurité informatique des postes de travail professionnels et/ou personnels utilisés à titre professionnel par les salariés. Une charte informatique est peut-être présente au sein de l’entreprise, encadrant notamment les modalités du BYOD (Bring Your Own Device). Si tel n’est pas le cas, cette période est certainement propice à la mise en place d’une information et sensibilisation claire et précise pour l’usage de ces outils, dont la teneur juridique est primordiale en matière de responsabilité des utilisateurs.
Par Ludovic de la MONNERAYE, Avocat Directeur au sein du département IP/IT.
Toute l’équipe VAUGHAN AVOCATS est mobilisée et à votre disposition pour vous aider dans cette période de crise.
Si vous avez des questions particulières, n’hésitez pas à nous écrire à contact@vaughan-avocats.fr, nous ferons notre possible pour vous répondre dans les 24 h.
Historico
-
Application StopCovid et données personnelles
Publicado el : 04/06/2020 04 junio jun 06 2020Domaine d'expertise / Propriété intellectuelle & Droit du numériqueDécryptage actualitésFace à la crise sanitaire actuelle, la technologie est utilisée comme outil supplémentaire pour tenter de maîtriser l’épidémie de Covid-19, dans le cadre de la stratégie dite de « déconfinement ». Bien que l’épidémie continue de ralentir, l’application StopCovid, destinée à enrayer la propagation...
-
La signature électronique : mode d’emploi et benchmark de 4 solutions !
Publicado el : 26/05/2020 26 mayo may 05 2020Domaine d'expertise / Propriété intellectuelle & Droit du numériqueDécryptage actualitésLa signature électronique, beaucoup en ont entendu parler, certains l'ont pratiquée lors de la réception de colis, à la banque, de la signature d'un contrat, chez le notaire / l'avocat, d'autres enfin retardaient son adoption compte tenu de sa complexité (juridique, technique, financière…). La pa...
-
Conférence 16/ 04/ 2020 : Mieux comprendre le RGPD et la protection des données
Publicado el : 15/04/2020 15 abril abr 04 2020We are vaughanDomaine d'expertise / Propriété intellectuelle & Droit du numériqueParticipez à la conférence en live sur Youtube Google Ateliers Numériques jeudi 16 avril. Vous pourrez appréhender la notion de donnée personnelle et découvrir les droits et obligations liés aux données personnelles pour les TPE/PME. Nous pourrons identifier les pièges à éviter et vous donner...
-
Données personnelles, cybersécurité et Coronavirus
Publicado el : 01/04/2020 01 abril abr 04 2020Domaine d'expertise / Propriété intellectuelle & Droit du numériqueDécryptage actualitésSuite à l’émergence de l’épidémie de Covid-19, au développement massif du télétravail et la volonté des entreprises de protéger leur personnel, les questions liées à la cybersécurité et aux données personnelles doivent rester une préoccupation majeure des entreprises. Ces préoccupations sont soum...
-
Ce que vous devez savoir pour (ne pas) déposer la marque « CORONAVIRUS » ou « COVID 19 »
Publicado el : 27/03/2020 27 marzo mar 03 2020Domaine d'expertise / Propriété intellectuelle & Droit du numériqueDécryptage actualitésA l’heure où nous traversons des jours difficiles, où nombreux sont ceux qui craignent pour la survie de leur activité, certains visionnaires ne se laissent pas abattre et décident de surfer sur la vague coronavirus qui traverse actuellement la planète. Depuis le début de l’épidémie, de nombre...
-
Classements Décideurs/Leaders league 2019 – Cabinets d’avocats
Publicado el : 25/10/2019 25 octubre oct 10 2019ClassementsCorporateDomaine d'expertise / Mobilité internationaleDomaine d'expertise / Propriété intellectuelle & Droit du numériqueDomaine d'expertise / Droit des affaires et corporateLe magazine Décideurs/Leaders League vient de publier ses classements des meilleurs cabinets d’avocats en France et dans le monde. Le cabinet Vaughan Avocats est fier de figurer parmi les leaders dans de nombreux secteurs. Les équipes de Vaughan Avocats sont référencées et reconnues au sein des...